Tratamento de Dados Pessoais

Publicado em 02/08/2021 18h01

- O que é a Lei Geral de Proteção de Dados Pessoais (LGPD)?
  A Lei Geral de Proteção de Dados Pessoais é o nome dado à Lei n.^o 13.709, de 14 de agosto de 2018. Ela surgiu para aprimorar e organizar a proteção dos dados pessoais no Brasil, integrando movimento de normatização global sobre o tema. A LGPD dispõe sobre o tratamento de dados pessoais, por meios físicos ou digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, e alcança qualquer setor da sociedade que, de alguma forma, trate dados pessoais. O objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
- A LGPD já está em vigor?
  Sim. A lei está em vigor desde 18 de setembro de 2020, porém a possibilidade de aplicação das penalidades administrativas somente entrou em vigor em 1 de agosto de 2021, por força da alteração promovida na LGPD, pela Lei n.^o14.010, de 10 de junho de 2020. Esta adiou a vigência das sanções que a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar aos órgãos, entidades e empresas que lidam com o tratamento de dados.
- A LGPD se aplica a todos os casos de tratamento de dados?
  Não, a lei prevê exceções, por exemplo, quando os objetivos de tratamento de dados são relacionados à segurança pública, à defesa nacional e/ou à segurança do Estado. Atividades investigativas ou com o objetivo de impedir a ocorrência de crimes também resultam em tratamentos de dados válidos. É importante ressaltar que o tratamento de dados no contexto de garantir a segurança e a defesa nacional deve ser realizado exclusivamente por órgão público, empresa pública ou empresa privada que esteja sob tutela do poder público ao realizar aquela atividade.
  
  A LGPD prevê legislação específica para assegurar que, nesses casos, o tratamento de dados será feito única e exclusivamente para fins de atender o interesse público.
  
  O inciso IV do art. 4^o especifica outros casos em que a LGPD não se aplica. A lei não vale para o tratamento de dados que venham de fora do Brasil, desde que o país de origem proporcione nível de proteção de dados pessoais equivalente ao da LGPD.
  
  A LGPD não é aplicável ao tratamento de dados de pessoas jurídicas nem de dados anonimizados, que são aqueles que não permitem a identificação do indivíduo, pois nenhum desses é considerado dado pessoal, salvo se a anonimização puder ser revertida (art. 12 da LGPD).
  
  A lei também não se aplica ao tratamento de dados pessoais realizado por pessoa física para fins exclusivamente particulares e não econômicos e para fins exclusivamente jornalísticos, artísticos ou acadêmicos.
- Quais atividades são englobadas no conceito de tratamento de dados?
  Tratamento de dados abrange toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Como deve se dar o tratamento de dados pessoais pelo poder público?
  O tratamento de dados pessoais por pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
  
  Para isso, devem ser informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades. A divulgação deve acontecer em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
- A quem compete a cobrança quanto ao cumprimento da LGPD?
  A LGPD e o Decreto n.^o 10.474, de 26 de agosto de 20, indicam que compete exclusivamente à ANPD aplicar as sanções previstas na LGPD, impedindo, portanto, que tal atividade seja terceirizada ou delegada. Suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
  
  Entretanto, a LGPD e o Decreto n.^o 10.474 indicam a necessidade de colaboração e cooperação entre a ANPD e os órgãos e entes públicos, em especial aqueles responsáveis pela regulação de setores da economia, incluindo coordenação de atividades e criação de fórum permanente de comunicação. A forma como essas atividades serão realizadas deverá ser estruturada pela ANPD.
- Quais são os direitos dos cidadãos em relação aos dados pessoais?
  Os arts. 17 a 22 da LGPD apresentam os direitos do titular de dados pessoais. Entre eles, destacam-se:
  - o direito de obter do controlador, a qualquer momento e mediante requisição, acesso aos dados pessoais que lhe digam respeito;
  - a correção de dados pessoais incompletos, inexatos ou desatualizados;
  - a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou em desconformidade com a lei;
  - a portabilidade de dados a outro fornecedor mediante requisição expressa;
  - a eliminação de dados (exceto quando o tratamento é previsto em lei, por exemplo);
  - a informação sobre o compartilhamento com entes públicos e privados;
  - as informações sobre a opção do não consentimento e suas implicações;
  - a revogação do consentimento;
  - a reclamação à ANPD.
- O que é considerado dado pessoal?
  A LGPD foi bem ampla ao determinar, de forma simples e aberta, que dado pessoal é a informação relacionada à pessoa natural identificada ou identificável. Então, qualquer dado que identifique ou possa identificar uma pessoa natural é um dado pessoal. A lei não traz nenhuma lista de quais são esses dados.
  
  Algumas categorias são exemplos de dados pessoais em geral, como: nome, RG, CPF, CNH, e-mail, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (protocolo da internet), cookies, entre outras.
- O que são dados sensíveis?
  Além dos dados pessoais em geral, a LGPD prevê proteção especial ao que chama de dados pessoais sensíveis, que são dados cuja natureza pode ensejar problemas mais graves para seus titulares, como discriminação indevida, manipulação, perseguição, preconceito etc. Nesse caso, a lei enumerou, em rol taxativo, quais são esses dados. São eles: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Qual a diferença de tratamento para os dados sensíveis?
  As hipóteses de tratamento dos dados sensíveis pela LGPD, tendo em vista o maior prejuízo que podem causar aos seus titulares, são mais restritas. A lei prevê dois casos principais:
  
  1. Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
  
  2. Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
  
  a) cumprimento de obrigação legal ou regulatória pelo controlador;
  
  b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  
  c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  
  d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei n.º 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  
  e) proteção da vida ou da incolumidade física do titular ou de terceiro;
  
  f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
  
  g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da lei, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
- O que são dados tornados manifestamente públicos pelo titular?
  A LGPD dispensa o consentimento para o tratamento do que chama de “dados tornados manifestamente públicos pelo titular”, isto é, dados que o próprio titular, ciente de sua ação, resolveu tornar públicos. Mesmo nessa hipótese, o tratamento deve observar os direitos do titular e os princípios previstos na LGPD.
- O que são dados anonimizados?
  É o dado relativo a titular que perdeu a possibilidade de associação, direta ou indireta, a um indivíduo em razão da utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Por esse motivo, os dados anonimizados não serão considerados dados pessoais para os fins da LGPD. Caso esse processo seja, eventualmente, revertido, esse dado passará a ser considerado dado pessoal para fins da LGPD.
- O que são dados pseudonimizados?
  São aqueles dados que passam por tratamento por meio do qual perde, a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.